流影---开源网络流量分析平台（二）（功能部署--流量探针）

SecPulse

已于 2025-03-30 15:21:56 修改

阅读量1.9k

点赞数 23

分类专栏：流影使用文章标签：流影开源开源软件网络安全威胁分析服务器组网

于 2025-03-28 14:10:59 首次发布

本文链接：https://blog.youkuaiyun.com/sveewg/article/details/146562053

版权

流影使用专栏收录该内容

5 篇文章

订阅专栏

前期部署

功能介绍

流量探针

前期部署

在上篇文章中，我们安装好了vm的镜像，本虚拟机有两个网卡，一个为nat，作用是用于本地web控制流影平台，另一个是桥接模式，但因为导出虚拟机之前的本机网卡IP地址不同，所以安装好要先配置网卡

在我上一篇文章中有配置网卡的centos网卡桥接模式配置

功能介绍

在上篇文章上我们介绍了流影开源平台的安装部署及所用的技术，在这章我们开始正式进行流影功能的部署，它的功能主要分为三个部分，同时呢，官方也给出了详细的安装教程，这里我给出官方的链接：https://abyssalfish-os.github.io/installation/，小编们可以自行研究部署，也可以看我部署

功能部署包：通过网盘分享的文件：liuying整合包
链接: https://pan.baidu.com/s/1cWFJjXyu6eskj-g1rY0mzg?pwd=jjpg 提取码: jjpg

流量探针

ly_probe 探针 源自于早期开源nprobe5.x，是一款用于解析网络流量、提取关键信息的探针软件，能够将流量或pcap文件解析后，提取并匹配指定数据内容后，以netflow格式传输至采集器。除提取网络层相关信息，亦可解析HTTP、DNS、ICMP等应用层协议。通过配置指纹规则库，支持提取应用层协议相关应用、设备、操作系统等绑定到IP详细扩展信息，也支持识别应用层的威胁行为，或其他匹配目标特征的网络行为。

在安装前，我们要先检查编译环境，

在ly_probe整合包的目录下输入./autogen.sh，发现报错，是因为没有权限，输入chmod +777 autogen.sh,后再检查环境，

报出了一堆提示，这是需要我们安装一些编译环境，分别是 libtool automake autoconf

那现在开始安装

安装libtool
 yum install -y libtool


安装automake
这里我用的是清华的镜像站，但是开始安装报错403，后来查资料发现服务器正在检查引用者，一些 HTTP 请求也会得到错误响应，因为它们会拒绝不以 Mozilla 开头或不包含 Wget 的用户代理。
解决方法 ：  wget --user-agent=“Mozilla” + 要下载的链接
例如 ：wget --user-agent="Mozilla" https://mirrors.tuna.tsinghua.edu.cn/gnu/automake/automake-1.15.tar.gz
然后输入tar -zxvf automake-1.15.tar.gz解压
在输入
cd automake-1.15
./configure
sudo make && make install
完成


安装autoconf
yum  install  autoconf


安装PF_RING(可选）
mkdir PF_RING
cd PF_RING
yum -y install git
git clone https://github.com/ntop/PF_RING.git
cd PF_RING
make
# 这里可能会报错
# 说找不到……3.10.0-1160.el7.x86_64/build
# 上面已经显示过我的内核文件头为3.10.0-1160.el7.x86_64/build
# 这个错是因为build是个软连接，连接的是3.10.0-1160.el7.x86_64版本的文件头，但系统没有这个文件头，需要手动更改
# 所以要更改一下kernel文件里面的软连接如下：
ln -s /usr/src/kernels/3.10.0-1160.el7.x86_64 /lib/modules/3.10.0-1160.el7.x86_64/build-f
报错找这：https://blog.youkuaiyun.com/linuxGc/article/details/120343804

make 
cd kernel 
make && make install

# 加载pf_ring模块
insmod pf_ring.ko

# Libpfring和Libpcap安装
cd ../userland/lib
./configure && make && make install
cd ../libpcap 
./configure && make && make install

# 运行验证是否成功
cd ../examples && make
./pfcount -i eth0

然后再运行./autogen.sh(探针目录下）

就会发现有一个什么宏报错，我也没看出来，反正就是一堆代码，但我后续的命令就进行不下去了，所以要改一个东西

因系统环境问题，若运行'autogen.sh'或make后出现 U_INT系列宏定义错误，可修改'config.h.in'文件中相关宏，将'#define'更改为'#undef'。再次执行'sh ./configure'即可。

之后运行 make && make install

最后输入liprobe -v出现版本就成功了

之后再设置探针的规则设置，在这里官方给出发的规则插件比较少，我也是从B站一个up主找到了一个新的规则

lyprobe -T "%IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FIRST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TYPE %SRV_NAME %SRV_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %THREAT_TIME" -n 127.0.0.1:9995 -e 0 -w 32768 -k 1 -K /data/cap/3 -G -i ens34

在查看进程，把那个默认的进程去掉

[root@localhost ly_probe-master]# ps -aux | grep lyprobe #查看进程
root 13486 0.1 0.2 303584 9448 ? Ssl 14:18 0:00 lyprobe -i ens34 -n 127.0.0.1 -K /data/cap/3 -T %IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FIRST_SWITCHED %LAST_SWISRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %DNS_RES_IP %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_L_TYPE %THREAT_NAME %THREAT_VERS %THREAT_TIME -e 0 -w 32768 -G #这个是原来的默认进程
root 14090 0.0 0.1 292924 6264 ? Ssl 14:25 0:00 lyprobe -T %IPV4_SRC_ADDR %IDR %IN_PKTS %IN_BYTES %FIRST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %ROTTOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CT_TYPE %THREAT_NAME %THREAT_VERS %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %THREAT_TIME -n 1295 -e 0 -w 32768 -k 1 -K /data/cap/3 -G -i ens34 #这个是新添加的规则
root 14126 0.0 0.0 112816 972 pts/3 S+ 14:25 0:00 grep --color=auto lyprobe
[root@localhost ly_probe-master]# kill -9 13486 #我们选择杀掉那个默认进程
[root@localhost ly_probe-master]# ps -aux | grep lyprobe 再次查看，只有新添加的规则就行了
root 14090 0.0 0.1 292924 6284 ? Ssl 14:25 0:00 lyprobe -T %IPV4_SRC_ADDR %IT_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %ROTOCOL %SRC_TOS %DNS_REQ_DOMAMETHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %THREAT_TYPE %THREAT_NAME %THREAT_VERS %ICMP_DATA AT_TIME -n 127.0.0.1:9995 -e 0 -w 32768 -k 1 -K /data/cap/3 -G -i ens34
root 14129 0.0 0.0 112816 972 pts/3 S+ 14:26 0:00 grep --color=auto lyprobe

由于我这个是在虚拟机上安装的，没有网卡混杂模式，所以我选择导入流量包来看探针的效果，

至于流量包官方也给出了，在探针的包里有一个pcap_file目录，里面都是流量包

首先安装两个工具用于导入流量包

输入yum install epel-release  和  yum install tcpreplay，安装好后我们移动到流量包目录下

输入tcpreplay -i ens34 ip_scan.pcap（ens34是我们要检测的网卡）

导入成功后就在web界面等待就行

虽然官方说是有15分钟的延迟，但我的都快一个小时了都没反应，一直是转圈圈（可能是我的虚拟机给的内存和cpu太少了）

最后我在那个日志里看，发现效果还是有的，所以实验没失败

以上就是这个实验，关注我，后续会继续探索流影的功能